Setelah membahas Kebijakan Strategis dalam Tata Kelola Teknologi Informasi, kini mari kita membahas Kebijakan Operasional yang penting dalam Tata Kelola TI BUMN mengacu pada PER-02/MBU/2013. Kebijakan Operasional Tata Kelola TI meliputi Pengelolaan Layanan TI, Pengelolaan Sekutiti TI, Pengelolaan Layanan Pihak Ketiga, Monitor dan Evaluasi Kinerja TI, Monitor dan Evaluasi Pengendalian Internal, serta Pengelolaan Compliance External Regulation.
Pengelolaan Layanan TI
Merupakan kebijakan yang mengatur tata kelola layanan TI. Kebijakan ini bertujuan agar proses layanan TI dapat terindentifikasi dan mampu didefinikan dengan baik untuk mencapai kinerja TI yang diharapkan demi kelangsungan layanan TI perusahaan.
Kebijakan pengelolaan Layanan TI dapat dituangkan dalam prosedur atau standar yang mengatur scara lebih detail proses yang diperlukan dalam menyelenggarakan layanan TI. Best practice yang dapat digunakan adalah IT Infrastructure Library (ITIL) dengan penyesuaian yang diperlukan.
Pengelolaan Sekuriti TI
Kebijakan ini mengatur tata kelola sekuriti TI dalam perusahaan yang bertujuan untuk menjaga kerahasiaan (confidentiality), intergritas (integrity), dan ketersediaan (availability) informasi perusahaan. Ruang lingkupnya mencakup aspek-aspek tentang pendefinisian aturan sekuriti TI, yang meliputi, rencana sekuriti TI, lasifikasi aset TI, prosedur sekuriti, monitoring ( pendeteksian, pelaporan, penyelesaian vulnerabilities & insiden sekuriti) dan Rencana kesinambungan bisnis perusahaan atau Business Continuity Plan (BCP).
Kebijakan Pengelolaan Skuriti TI dapat dituangkan dalam suatu prosedur atau standar sekuriti TI yang pada umumnya mengadopsi proses Infomation Security Management System (ISMS) yang berbasis ISO 27000 dan disesuaikan dengan kebutuhan perusahaan.
Pengelolaan Layanan Pihak Ketiga
Merupakan kebijakan yang mengatur tata kelola layanan TI yang dilakukan oleh pihak ketiga (outsourcing). Kebijakan ini bertujuan untuk menjamin bahwa layanan yang dilakukan oelh pihak ketiga (suppliers, vendors, dan partners) memnuhi kebutuhan bisnis perusahaan, serta meminimalkan risiko bisnis jika pihak ketiga tidak dapat memenuhi kewajibannya dalam memberikan layanan TI.
Ruang linkupnya meliputi pendefinisian tugas, tanggung jawab, dan ekspektasi dalam perjanjian dengan pihak ketiga. Kebijakan ini mengatur proses identifikasi hubungan pihak ketiga, supplier relationship management, supplier risk management, dan supplier performance monitoring.
Kebijakan ini dapat berupa prosedur pengelolaan hubungan kemitraan dengan pihak ketiga, prosedur pengelilaan risiko untuk layanan pihak ketiga, prosedur pemantauan kinerja pihak ketiga, serta pembuatan kontrak dengan pihak ketiga berdasarkan persyaratan yang berlaku.
Monitor dan Evaluasi Kinerja TI
Merupakan kebijakan yang mengatur pengelolaan indikator kinerga TI hingga level korporat dan sistematika pelaporan kinerja serta tindak lanjut yang diperlukan jika terjadi diviasi. Tujuannya untuk memastikan seluruh kinerja TI sesuai dengan arahan dan kebijakan yang berlaku.
Ruang linkupnnya meliputi pengaturan pendekatan dan metoda monitoring kinerja TI, pendefinisian dan cara pengumpulan data, proses asesmen kinerja TI, proses pelaporan kinerja TI secara periodik, serta proses perencanaan remediasi akibat deviasi hasil asesmen kinerja TI.
Kebijakan ini dapat ditungakan dalam prosedur pengukuran kinerja yang didefinisikan dalam KPI (Key Performance Indikator) unit, prosedur tata cara pengumpulan data kinerja TI, prosedur proses pelaksanaan asesmen kinerja TI, prosedur pelaporan kinerja TI, dan prosedur tata cara remediasi deviasi kinerja TI.
Monitor dan Evaluasi Pengendalian Internal
Monitor dan Evaluasi Pengendalian Internal adalah kebijakan yang diperlukan untuk internal control (pengendalian internal. Kebijakan ini bertujuan untuk memberikan jaminan mengenai operasi TI yang efektif dan efisien, serta kepatuhannya terhadap kebijakan dan aturan yang berlaku di perusahaan.
Kebijakan ini dapat mengatur proses monitoring dan pelaporan pengecualian control (control exception), pengelolaan asesmen dan basil dari control self assessment (CSA), serta mengelola proses remediasi, dan review pihak ketiga. Monitor dan Evaluasi Pengendalian Internal dapat dituangkan kedalam pendefinisian pengendalian internal yang akan diterapkan dalam layanan TI, prosedur pelaporan pengecualian kontrol, prosedur asesmen dan control self assessment, prosedur tata cara remediasi, dan prosedur tata cara mengevaluasi pihak ketiga.
Pengelolaan Compliance External Regulation
Merupakan kebijakan yang mengatur proses identifikasi kebutuhan comliance dan proses evaluasi untuk menjamin compliance terhadap aturan yang berlaku. Kebijakan ini ditujukan untuk memastikan bahwa persyaratan aturan atau hukum yang berlaku telah dipatuhi. Ruang lingkupnya dapat mengatur proses identifikasi persyaratan compliance, mengoptimalkan dan mengevaluasi tanggapan terhadap hasil audit, memastikan tingkat kepatuhan, serta menyusun laporan yang terintegrasi dengan bisnis.
Kebjiakan ini dapat dituangkan dalam Pendefinisian kebutuhan persyaratan compliance terhadap aturan tertentu (misal Sarbanes-Oxley, Basel II, PCI, Peraturan Bank Indonesia no.9/15/PB1/2007,dll), prosedur pengelolaan review terhadap audit eksternal, dan prosedur penyusunan laporan yang terintegrasi dengan laporan bisnis.(**)